.PAGE.專業(yè)資料整理分享完美WORD格式編輯中小型企業(yè)網絡的構建..摘要隨著現代科技的發(fā)展及計算機技術與通訊技術的結合,計算機幾乎成了每個企業(yè)的必備設備,超過一半的企業(yè)擁有自己的網絡。企業(yè)網絡不僅可以提供給我們一個現代化的高效、快捷、安全的辦公環(huán)境,還可以進行高速的數據傳輸和實現生產自動化。本文根據網絡構建的原則,從技術基礎、方案選擇、構建方法等方面對組建一個中小型企業(yè)網絡進行了分析,在此基礎上構建了網絡的拓撲結構,并進行了詳細的設計及配置,為一些類似的企業(yè)公司的網絡建設提供了一個可供參考的模板。最后文章對網絡建設過程中的一些實踐經驗進行了總結和討論。關鍵詞：網絡；交換機；路由器；服務器。1需求分析11.1網絡平臺實現的功能11.2網絡平臺的特點12網絡系統設計22.1網絡設計原則22.2網絡設計模型3核心層3分布層4接入層42.3系統組成與拓撲結構53網絡詳細設計及配置63.1交換模塊設計6接入層交換服務的實現－配置接入層交換機6分布層交換服務的實現－配置分布層交換機10核心層交換服務的實現－配置核心層交換機153.2廣域網接入模塊設計17配置接入路由器InternetRouter的基本參數17配置接入路由器InternetRouter的各接口參數17配置接入路由器InternetRouter的路由功能18配置接入路由器InternetRouter上的NAT18設置接入路由器InternetRouter上的ACL193.3遠程訪問設計和程訪問模塊設213.4服務器模塊設計224系統總結23需求分析網絡平臺實現的功能1.實現企業(yè)內資源共享,提供管理應用系統,實現企業(yè)辦公自動化。2.接入Internet,共享網絡資源。3.企業(yè)擁有自己的IP地址和域名。4.建立企業(yè)Email系統和內部通訊系統。5.在公司主機上建立網站,提供對外宣傳的信息平臺。網絡平臺的特點網絡平臺是企業(yè)信息化的核心,要求具有高可靠性、高性能、良好可擴展性以及端到端的QoS服務質量保證。高可用性必須是一個端到端的網絡目標。網絡設備、服務器集群、操作系統及網絡接口卡必須作為一個統一的生態(tài)系統協同工作,以恢復任何服務器、鏈路或網絡設備的故障。在考慮設備硬件可靠性和連接鏈路冗余的同時,應關注網絡系統在不同層次上對系統可用性的軟件功能支持能力,另外容易被忽略的高可用性因素——統一的設備軟件操作平臺。如果不同設備采用不同的軟件系統,兼容性、開放性和可擴展性都會受到影響。QoS<服務質量保證>是保證向網絡業(yè)務提供有品質的服務。它為網絡中的數據劃分優(yōu)先級,對于某些數據,如語音、視頻等,給予高的優(yōu)先級,使他們在網絡中優(yōu)先傳輸,來保證通話及視頻的質量。在應用系統較為簡單的網絡發(fā)展的初期,常常被對應于簡單的概念,例如設備可以支持的隊列數量等。在網絡應用日趨復雜的環(huán)境下,如何在有限的網絡資源里充分保障各類應用的實施,是一個非常復雜的問題,實施QoS,是端到端的概念,不是單個設備的問題,而是涉及整個園區(qū)網、甚至跨廣域網的問題。QoS的管理和部署可能需要涉及到不同城市、不同廠區(qū)、不同大樓的每一臺網絡設備,甚至每一個端口。因此,在選擇網絡設備和供應商的時候,要擦亮眼睛看看供應商的QoS能做到什么程度。網絡系統設計網絡設計原則開放性：系統設計應采用開放技術、開放結構、開放系統組件和開放用戶接口,以利于網絡的維護、擴展升級及與外界信息的溝通。安全性：應能在可靠性的前提下,抵擋來自內部和外部的攻擊；采用的安全措施有效、可信,能夠在多層次上、以多種方式實現安全的控制。可靠性：系統及網絡結構較為復雜,同時在部分子系統中存在較高的技術性,因此必須保證系統的穩(wěn)定、可靠和安全運行,具有很高的MTBF<平均無故障工作時間>和極低的MTBR<平均無故障率>,提高容錯設計,支持故障檢測和恢復,可管理性強。網絡必須是可靠的,包括網元級的可靠性,如引擎、風扇、單板、總計等；以及網絡級的可靠性,如路由、交換的匯聚,鏈路冗余,負載均衡等。網絡必須具有足夠高的性能,滿足業(yè)務的需要。具有容錯功能,能滿足企業(yè)所在地環(huán)境、氣候條件,抗干擾能力強,對網絡的設計、選型、安裝、調試等各環(huán)節(jié)進行統一規(guī)劃和分析,確保系統運行可靠。統一性：在系統的設計過程中,堅持"三統一",即統一規(guī)劃、統一標準、統一出口。經濟性：在充分滿足以上要求的前提下,應充分考慮到企業(yè)的經濟承受能力,盡可能地節(jié)約投資,花好每一分錢。著眼于近期目標和長期的發(fā)展,選用先進的設備進行最佳性能組合,利用有限的投資構造一個性能最佳的網絡系統。實用性：實用性設計應能滿足目前對網絡應用的要求,充分實現內部管理、信息化等要求,使網絡的整體性能盡快得到充分的發(fā)揮,并且便于掌握。網絡設計模型在中型企業(yè)網的設計中,一般采用層次化模型來設計網絡拓撲結構。所謂"層次化"模型,就是將復雜的網絡設計分成幾個層次,每個層次著重于某些特定的功能,這樣就能夠使一個復雜的大問題變成許多簡單的小問題。"核心層-分布層-接入層"層次化網絡設計模型有如下優(yōu)點：節(jié)省成本：在采用層次模型之后,各層次各司其職,不再在同一個平臺上考慮所有的事情。層次模型模塊化的特性使網絡中的每一層都能夠很好地利用帶寬,減少了對系統資源的浪費。易于理解：層次化設計使得網絡結構清晰明了,可以在不同的層次實施不同難度的管理,降低了管理成本。易于擴展：在網絡設計中,模塊化具有的特性使得網絡增長時網絡的復雜性能夠限制在子網中,而不會蔓延到網絡的其他地方。易于排錯：層次化設計能夠使網絡拓撲結構分解為易于理解的子網,網絡管理者能夠輕易地確定網絡故障的范圍,從而簡化了排錯過程。核心層核心層將各分布層交換機互連起來進行穿越園區(qū)網骨干的高速數據交換。園區(qū)網的核心層連接所有的分布層設備,必須能夠盡可能高效地交換數據流。應具有如下特征：第2層和第3層的吞吐量非常高；不執(zhí)行高成本或不必要的分組處理〔訪問列表、分組過濾；支持高可用性的冗余和彈性；高級QoS功能。應對園區(qū)網核心層中的設備進行優(yōu)化,以提供高性能的第2層或第3層交換。由于核心層必須處理大量的園區(qū)網級數據,因此核心層設計必須簡單、高效。在本設計的核心層中,采用兩臺CiscoCatalyst4006交換機組成雙機熱備份的核心交換機系統解決方案。為提高核心-網絡的健壯性,實現鏈路的安全保障,本方案骨干核心層中可以采用VRRP〔熱備用路由器協議。對于各個業(yè)務VLAN可以指向這個虛擬的IP地址作為網關,因此應用VRRP技術為核心交換機提供一個可靠的網關地址,以實現在核心層核心交換機之間進行設備的硬件冗余,一主兩備,共用一個虛擬的IP地址和MAC地址,通過內部的協議傳輸機制可以自動進行工作角色的切換。進而雙引擎、雙電源的設計為網絡高效處理大集中數據提供了可靠的保障。分布層分布層將園區(qū)網的接入層和核心層連接起來。必須具備下述的功能：聚集多臺接入層設備；較高的第3層分組處理吞吐量；使用訪問列表和分組過濾器提供安全和基于策略的連接；QoS功能；連接到核心層和接入層的高速鏈接具有可擴展性和彈性。在分布層中,來自接入層設備的上行鏈路被聚合在一起。分布層交換機必須能夠處理來自所有連接的設備的總流量。這些交換機必須擁有能提供高速鏈路的端口密度,以支持所有接入層交換機。VLAN和廣播域在分布層聚合在一起,需要支持路由選擇、過濾和安全。該層的交換機還必須能夠執(zhí)行高吞吐量的多層交換。接入層接入層位于連接到網絡的最終用戶處。接入層交換機通常在用戶之間提供第2層〔VLAN連接性。該層設備有時被稱為大樓介入交換機,必須具備下述功能：低交換機端口成本；高端口密度；連接到高層的可擴展上行鏈路；用戶接入功能,如VLAN成員資格、數據流和協議過濾以及服務質量〔QoS；使用多條上行鏈路提供彈性。系統組成與拓撲結構為了實現網絡設備的統一,本設計方案中完全采用同一廠家的網絡產品,即Cisco公司的網絡設備構建。全網使用同一廠商設備的好處是可以實現各種不同網絡設備功能的互相配合和補充。該企業(yè)網設計方案主要由以下四大部分構成：交換模塊、廣域網接入模塊、遠程訪問模塊、服務器群。網絡拓撲如下圖所示：網絡詳細設計及配置這里我將使用思科的一款虛擬軟件〔ciscopackettracer完成配置,該軟件功能有限,一些配置并不能在該軟件上實現。以下配置截圖,皆來自該軟件。交換模塊設計接入層交換服務的實現－配置接入層交換機接入層為所有的終端用戶提供一個接入點。這里的接入層交換機采用的是CiscoCatalyst295024口交換機〔WS-C2950-24。交換機擁有24個10/100Mbps自適應快速以太網端口,運行的是Cisco的IOS操作系統。配置接入層交換機AccessSwitch1的基本參數〔1設置交換機名稱設置交換機名稱,也就是出現在交換機CLI提示符中的名字。一般我們會以地理位置或行政劃分來為交換機命名。當我們需要Telnet登錄到若干臺交換機以維護一個大型網絡時,通過交換機名稱提示符提示自己當前配置交換機的位置是很有必要的。其中h是hostname的簡寫,〔在真實環(huán)境中也支持簡寫可以用該命令實現設備的重命名?！?設置交換機的加密使能口令加密口令為：enablesecret+密碼。當用戶在普通用戶模式而想要進入特權用戶模式時,需要提供此口令。此口令會以MD5的形式加密,因此,當用戶查看配置文件時,無法看到明文形式的口令。〔3設置登錄虛擬終端線時的口令Linevty015PasswordciscoLoginLogin對這個配置很重要,沒有他你就算配了密碼也無法登陸。對于一個已經運行著的交換網絡來說,交換機的帶內遠程管理為網絡管理人員提供了很多的方便。但是,處于安全考慮,在能夠遠程管理交換機之前網絡管理人員必須設置遠程登錄交換機的口令。〔4設置終端線超時時間為了安全考慮,可以設置終端線超時時間。在設置的時間內,如果沒有檢測到鍵盤輸入,IOS將斷開用戶和交換機之間的連接。這里設置的是5分30秒。〔5設置禁用IP地址解析特性在交換機默認配置的情況下,當我們輸入一條錯誤的交換機命令時,交換機會嘗試將其廣播給網絡上的DNS服務器并將其解析成對應的IP地址。利用命令noipdomain-lookup?？梢越眠@個特性〔6設置啟用消息同步特性有時,用戶輸入的交換機配置命令會被交換機產生的消息打亂。可以使用命令loggingsynchronous設置交換機在下一行CLI提示符后復制用戶的輸入。配置接入層交換機AccessSwitch1的管理IP、默認網關接入層交換機是OSI參考模型的第2層設備,即數據鏈路層的設備。因此,給接入層交換機的每個端口設置IP地址是沒意義的。但是,為了使網絡管理人員可以從遠程登錄到接入層交換機上進行管理,必要給接入層交換機設置一個管理用IP地址。這種情況下,實際上是將交換機看成和PC機一樣的主機。給交換機設置管理用IP地址只能在VLAN1,即本征VLAN中進行。為了使網絡管理人員可以在不同的子網管理此交換機,還應設置默認網關地址.配置接入層交換機AccessSwitch1的VTP從提高效率的角度出發(fā),在本企業(yè)網實現實例中使用了VTP技術。同時,將分布層交換機DistributeSwitch1設置成為VTP服務器,其他交換機設置成為VTP客戶機。這里接入層交換機AccessSwitch1將通過VTP獲得在分布層交換機DistributeSwitch1中定義的所有VLAN的信息。設置接入層交換機AccessSwitch1成為VTP客戶機。圖中,ver是version的縮寫。以后都將使用這些縮寫。Vtpmodeclient命令設置該交換機為vtp的客戶機模式,vtpver2命令設置使用vtp的版本號為2。配置接入層交換機AccessSwitch1端口基本參數：端口速度可以設定某端口根據對端設備速度自動調整本端口速度,也可以強制將端口速度設為10Mpbs或100Mbps。在了解對端設備速度的情況下,建議手動設置端口速度。設置接入層交換機AccessSwitch1的所有端口〔1-24的速度均為100Mbps。int是interface的縮寫,是進入某個接口的命令；r為range的縮寫,f為fastethernet〔快速以太網接口的縮寫,f0/1-24表示快速以太網的0/1-0/24共24個接口。配置接入層交換機AccessSwitch1的接入端口接入層交換機AccessSwitch1為終端用戶提供接入服務。接入層交換機AccessSwitch1為VLAN10提供接入服務。Swi為switchport的縮寫,mo為mode的縮寫,acc為access的縮寫。用spanning-treeportfast來配置生成樹快速端口?！?設置接入層交換機AccessSwitch1的端口1～22如圖所示,設置接入層交換機AccessSwitch1的端口1～端口24工作在接入模式。同時,設置端口1～端口22為VLAN10的成員?！?設置快速端口默認情況下,交換機在剛加電啟動時,每個端口都要經歷生成樹的四個階段：阻塞、偵聽、學習、轉發(fā)。在能夠轉發(fā)用戶的數據包之前,某個端口可能最多要等50秒鐘的時間〔20秒的阻塞時間＋15秒的偵聽延遲時間＋15秒的學習延遲時間。對于直接接入終端工作站的端口來說,用于阻塞和偵聽的時間是不必要的。為了加速交換機端口狀態(tài)轉化時間,可以設置將某端口設置成為快速端口〔Portfast。設置為快速端口的端口當交換機啟動或端口有工作站接入時,將會直接進入轉發(fā)狀態(tài),而不會經歷阻塞、偵聽、學習狀態(tài)〔假設橋接表已經建立。配置接入層交換機AccessSwitch1的主干道端口接入層交換機AccessSwitch1通過端口FastEthernet0/23上連到分布層交換機DistributeSwitch1的端口FastEthernet0/1。同時,接入層交換機AccessSwitch1還通過端口FastEthernet0/24上連到分布層交換機DistributeSwitch2的端口FastEthernet0/1。這兩條上連鏈路將成為主干道鏈路,在這兩條上連鏈路上將運輸多個VLAN的數據。設置接入層交換機AccessSwitch1的端口FastEthernet0/23、FastEthernet0/24為主干道端口,即為配置這兩個端口的中繼。命令為switchportmodetrunk配置接入層交換機AccessSwitch2、3、4、5接入層交換機AccessSwitch2、3、4、5分別為VLAN20、VLAN30、VLAN40、VLAN50的用戶提供接入服務。同時,分別通過自己的FastEthernet0/23、FastEthernet0/24上連到分布層交換機DistributeSwitch1、DistributeSwitch2的端口FastEthernet0/2。對接入層交換機AccessSwitch2、3、4、5的配置步驟、命令和對接入層交換機AccessSwitch1的配置類似。分布層交換服務的實現－配置分布層交換機分布層除了負責將接入層交換機進行匯集外,還為整個交換網絡提供VLAN間的路由選擇功能。對分布層交換機DistributeSwitch1的基本參數的配置步驟與對接入層交換機AccessSwitch1的基本參數的配置類似。這里,只給出實際的配置。1．配置分布層交換機DistributeSwitch1的管理IP、默認網關顯示了為分布層交換機DistributeSwitch1設置管理IP并激活本征VLAN。同時,還設置了默認網關的地址。add為address的縮寫；nosh即為noshutdown,開啟端口。2．配置分布層交換機DistributeSwitch1的VTP當網絡中交換機數量很多時,需要分別在每臺交換機上創(chuàng)建很多重復的VLAN。工作量很大、過程很繁瑣,并且容易出錯。我們常采用VLAN中繼協議〔VlanTrunkingProtocol,VTP來解決這個問題。VTP允許我們在一臺交換機上創(chuàng)建所有的VLAN。然后,利用交換機之間的互相學習功能,將創(chuàng)建好的VLAN定義傳播到整個網絡中需要此VLAN定義的所有交換機上。同時,有關VLAN的刪除、參數更改操作均可傳播到其他交換機。從而大大減輕了網絡管理人員配置交換機負擔。在本企業(yè)網實現實例中使用了VTP技術。同時,將分布層交換機DistributeSwitch1設置成為VTP服務器,其他交換機設置成為VTP客戶機。配置VTP管理域vtpdomaincisco共享相同VLAN定義數據庫的交換機構成一個VTP管理域。每一個VTP管理域都有一個共同的VTP管理域域名。不同VTP管理域的交換機之間不交換VTP通告信息。將VTP管理域的域名定義為"cisco"。設置VTP服務器vtpmodeserver工作在VTP服務器模式下的交換機可以創(chuàng)建、刪除VLAN、修改VLAN參數。同時,還有責任發(fā)送和轉發(fā)VLAN更新消息。激活VTP剪裁功能vtppruning默認情況下主干道傳輸所有VLAN的用戶數據。有時,交換網絡中某臺交換機的所有端口都屬于同一VLAN的成員,沒有必要接收其他VLAN的用戶數據。這時,可以激活主干道上的VTP剪裁功能。當激活了VTP剪裁功能以后,交換機將自動剪裁本交換機沒有定義的VLAN數據。在一個VTP域下,只需要在VTP服務器上激活VTP剪裁功能。同一VTP域下的所有其他交換機也將自動激活VTP剪裁功能。下圖為該交換機的配置參數：3．在分布層交換機DistributeSwitch1上定義VLAN在本企業(yè)網實現實例中,除了默認的本征VLAN外,又定義了6個VLAN。由于使用了VTP技術,所以所有VLAN的定義只需要在VTP服務器,即分布層交換機DistributeSwitch1上進行。如圖所示,定義了6個VLAN,同時為每個VLAN命名。4．配置分布層交換機DistributeSwitch1的端口基本參數分布層交換機DistributeSwitch1的端口FastEthernet0/1～FastEthernet0/5連到接入層交換機AccessSwitch1-5的端口FastEthernet0/23,端口FastEthernet0/10～FastEthernet0/12為服務器群提供接入服務。此外,分布層交換機DistributeSwitch1還通過自己的千兆端口GigabitEthernet1/1上連到核心交換機CoreSwitch1的GigabitEthernet0/1。為了實現冗余設計,分布層交換機DistributeSwitch1還通過自己的千兆端口GigabitEthernet1/2連接另一臺到分布層交換機DistributeSwitch2的GigabitEthernet1/2。給出了對所有訪問端口、主干道端口的配置步驟和命令。設置分布層交換機DistributeSwitch1的各端口參數其中,f0/1-f0/5,gi1/1,gi1/2都被配為中繼端口,端口f0/10-f0/12被劃分給VLAN100。swi為switchport的縮寫,acc為access的縮寫,gi為gigabitEthernet的縮寫,5．配置分布層交換機DistributeSwitch1的3層交換功能分布層交換機DistributeSwitch1需要為網絡中的各個VLAN提供路由功能。這需要首先啟用分布層交換機的路由功能。接下來,需要為每個VLAN定義自己的默認網關地址,此外,還需要定義通往Internet的路由。這里使用了一條缺省路由命令,其中,下一跳地址是Internet接入路由器的快速以太網接口FastEthernet0/0的IP地址。6．配置分布層交換機DistributeSwitch2分布層交換機DistributeSwitch2的端口FastEthernet0/1-5分別下連到接入層交換機AccessSwitch1-5的端口FastEthernet0/24。此外,分布層交換機DistributeSwitch2還通過自己的千兆端口GigabitEthernet1/1上連到核心交換機CoreSwitch2的GigabitEthernet0/1。對分布層交換機DistributeSwitch2的配置步驟、命令和對分布層交換機DistributeSwitch1的配置類似。核心層交換服務的實現－配置核心層交換機1．配置核心層交換機CoreSwitch1的基本參數對核心層交換機CoreSwitch1的基本參數的配置步驟與對接入層交換機AccessSwitch1的基本參數的配置類似。這里,只給出實際的配置步驟,不再給出解釋。2．配置核心層交換機CoreSwitch1的管理IP、默認網關如圖所示,顯示了為核心層交換機CoreSwitch1設置管理IP并激活本征VLAN。同時,還設置了默認網關的地址。3．配置核心層交換機CoreSwitch1的的VLAN及VTP在本實例中,核心層交換機CoreSwitch1也將作為VTP客戶機。這里核心層交換機CoreSwitch1將通過VTP獲得在分布層交換機DistributeSwitch1中定義的所有VLAN的信息。完整命令為：vtpmodeclient4．配置核心層交換機CoreSwitch1的端口參數核心層交換機CoreSwitch1通過自己的端口FastEthernet0/22同廣域網接入模塊〔Internet路由器相連。同時,核心層交換機CoreSwitch1的端口GigabitEthernet0/1～GigabitEthernet0/2分別下連到接入層交換機DistributeSwitch1和DistributeSwitch2的端口GigabitEthernet1/1。如圖所示,給出了對上述端口的配置命令。此外,為了提供主干道的吞吐量以及實現冗余設計,在本設計中,將核心層交換機CoreSwitch1的千兆端口GigabitEthernet2/1、GigabitEthernet2/2捆綁在一起實現2000Mbps的千兆以太網信道,然后再連接到另一臺核心層交換機CoreSwitch2。下面是設置核心層交換機CoreSwitch1的千兆以太網信道的步驟。5．配置核心層交換機CoreSwitch1的路由功能核心層交換機CoreSwitch1通過端口FastEthernet0/22同廣域網接入模塊〔Internet路由器相連。因此,需要啟用核心層交換機的路由功能。同時,還需要定義通往Internet的路由。這里使用了一條缺省路由命令,如圖所示。其中,下一跳地址是Internet接入路由器的快速以太網接口FastEthernet0/0的IP地址。6．核心層交換機CoreSwitch2的配置核心層交換機CoreSwitch2的配置步驟、命令和對核心層交換機CoreSwitch1的配置類似。這里,不再詳細分析。同時,對于配置核心層交換機CoreSwitch2下連的一系列交換機,其連接方法以及配置步驟和命令同核心層交換機CoreSwitch1下連的一系列交換機的連接方法以及配置步驟和命令類似。這里,也不再贅述。廣域網接入模塊設計在本設計中,廣域網接入模塊的功能是由廣域網接入路由器InternetRouter來完成的。采用的是Cisco的2811路由器。它通過添加WIC-2T模塊上帶的串行接口serial0/0使用DDN〔128K技術接入Internet。它的作用主要是在Internet和企業(yè)網內網間路由數據包。除了完成主要的路由任務外,利用訪問控制列表〔AccessControlList,ACL,廣域網接入路由器InternetRouter還可以用來完成以自身為中心的流量控制和過濾功能并實現一定的安全功能。配置接入路由器InternetRouter的基本參數對接入路由器InternetRouter的基本參數的配置步驟與對接入層交換機AccessSwitch1的基本參數的配置類似。配置接入路由器InternetRouter的各接口參數對接入路由器InternetRouter的各接口參數的配置主要是對接口FastEthernet0/0以及接口Serial0/0/0的IP地址、子網掩碼的配置。如圖2-3所示,顯示了為接入路由器InternetRouter的各接口設置IP地址、子網掩碼。配置接入路由器InternetRouter的路由功能在接入路由器InternetRouter上需要定義兩個方向上的路由：到企業(yè)網內部的靜態(tài)路由以及到Internet上的缺省路由。到Internet上的路由需要定義一條缺省路由,如圖所示。其中,下一跳指定從本路由器的接口serial0/0/0送出。到企業(yè)網內部的路由條目可以經過路由匯總后形成兩條路由條目。如圖所示。配置接入路由器InternetRouter上的NAT為了接入Internet,本企業(yè)網向當地ISP申請了9個IP地址。其中一個IP地址：193.1.1.1被分配給了Internet接入路由器的串行接口,另外8個IP地址：202.206.222.1～202.206.222.8用作NAT。NAT的配置可以分為以下幾個步驟?！?定義NAT內部、外部接口Ipnatinside定義端口為內部端口；Ipnatoutside定義端口為外部端口。〔2定義允許進行NAT的內部局部IP地址范圍內部地址范圍為：192.168.0.1-192.168.0.254,……,192.168.7.1-192.168.7.254,192.168.100.1-192.168.100.254八個子網。〔3為服務器定義靜態(tài)地址轉換將服務器的內部IP地址改為公有地址。為其他工作站定義動態(tài)地址轉換 將一個網絡中的所有需要轉換的私有地址用一個ACL來表示,再從ISP注冊到的共有地址一個地址池來表示,最后再將ACL與地址池做動態(tài)的轉換。將除服務器外的內部IP隨機轉換為地址池內的202.206.222.4-202.206.222.8的公有地址。Cisco為地址池名。設置接入路由器InternetRouter上的ACL在網絡環(huán)境中還普遍存在著一些非常重要的、影響服務器群安全的隱患。在絕大多數網絡環(huán)境的實現中它們都是應該對外加以屏蔽的。主要應該做以下的ACL設計：〔1對外屏蔽簡單網管協議,即SNMP。利用這個協議,遠程主機可以監(jiān)視、控制網絡上的其它網絡設備。它有兩種服務類型：SNMP和SNMPTRAP。對外屏蔽簡單網管協議SNMP：〔2對外屏蔽遠程登錄協議telnet首先,telnet是一種不安全的協議類型。用戶在使用telnet登錄網絡設備或服務器時所使用的用戶名和口令在網絡中是以明文傳輸的,很容易被網絡上的非法協議分析設備截獲。其次,telnet可以登錄到大多數網絡設備和UNIX服務器,并可以使用相關命令完全操縱它們。這是極其危險的,因此必須加以屏蔽。對外屏蔽遠程登錄協議telnet：〔3對外屏蔽其它不安全的協議或服務這樣的協議主要有SUNOS的文件共享協議端口2049,遠程執(zhí)行〔rsh、遠程登錄〔rlogin和遠程命令〔rcmd端口512、513、514,遠程過程調用〔SUNRPC端口111?？梢詫⑨槍σ陨蠀f議綜合進行設計,如圖所示?！?針對DoS攻擊的設計DoS攻擊〔DenialofServiceAttack,拒絕服務攻擊是一種非常常見而且極具破壞力的攻擊手段,它可以導致服務器、網絡設備的正常服務進程停止,嚴重時會導致服務器操作系統崩潰?！?保護路由器自身安全作為內網、外網間屏障的路由器,保護自身安全的重要性也是不言而喻的。為了阻止黑客入侵路由器,必須對路由器的訪問位置加以限制。應只允許來自服務器群的IP地址訪問并配置路由器。這時,可以使用ACCESS-CLASS命令進行VTY訪問控制。如圖所示遠程訪問設計和程訪問模塊設遠程訪問也是園區(qū)網絡必須提供的服務之一。它可以為家庭辦公用戶和出差在外的員工提供移動接入服務。遠程訪問有三種可選的服務類型：專線連接、電路交換和包交換。不同的廣域